EvilProxy devient l’une des plateformes de phishing les plus populaires pour cibler les comptes protégés par MFA, les chercheurs voyant 120 000 e-mails de phishing envoyés à plus d’une centaine d’organisations pour voler des comptes Microsoft 365.
Cette nouvelle recherche provient de Proofpoint, qui met en garde contre une augmentation spectaculaire des incidents de prise de contrôle de comptes cloud réussis au cours des cinq derniers mois, affectant principalement les cadres supérieurs.
La société de cybersécurité a observé une campagne à très grande échelle soutenue par EvilProxy, qui combine l’usurpation d’identité de marque, l’évasion de détection de bot et les redirections ouvertes.
Attaques EvilProxy
EvilProxy est une plate-forme de phishing en tant que service qui utilise des proxys inverses pour relayer les demandes d’authentification et les informations d’identification de l’utilisateur entre l’utilisateur (cible) et le site Web de service légitime.
Comme le serveur de phishing utilise le formulaire de connexion légitime, il peut voler des cookies d’authentification une fois qu’un utilisateur se connecte à son compte.
De plus, comme l’utilisateur devait déjà passer des défis MFA lors de la connexion à un compte, le cookie volé permet aux acteurs de la menace de contourner l’authentification multifacteur.
Comme indiqué en septembre 2022 par Resecurity, EvilProxy est vendu aux cybercriminels pour 400 $/mois, promettant la possibilité de cibler les comptes Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy et PyPI.
Une nouvelle campagne de phishing observée par Proofpoint depuis mars 2023 utilise le service EvilProxy pour envoyer des e-mails qui se font passer pour des marques populaires comme Adobe, DocuSign et Concur.
Si la victime clique sur le lien intégré, elle passe par une redirection ouverte via YouTube ou SlickDeals, suivie d’une série de redirections ultérieures qui visent à réduire les chances de découverte et d’analyse.
Finalement, la victime atterrit sur une page de phishing EvilProxy qui inverse la page de connexion Microsoft 365, qui présente également le thème de l’organisation de la victime pour paraître authentique.
« Afin de masquer l’e-mail de l’utilisateur aux outils d’analyse automatique, les attaquants ont utilisé un codage spécial de l’e-mail de l’utilisateur et ont utilisé des sites Web légitimes qui ont été piratés pour télécharger leur code PHP afin de décoder l’adresse e-mail d’un utilisateur particulier », explique Proofpoint. .
« Après avoir décodé l’adresse e-mail, l’utilisateur a été redirigé vers le site Web final – la véritable page de phishing, conçue sur mesure pour l’organisation de cette cible. »
Particularités du ciblage
Les chercheurs ont découvert que la dernière campagne redirigeait les utilisateurs avec une adresse IP turque vers un site légitime, annulant essentiellement l’attaque, ce qui pourrait signifier que l’opération est basée en Turquie.
De plus, Proofpoint a remarqué que les attaquants étaient très sélectifs dans les cas avec lesquels ils passeraient à la phase de prise de contrôle de compte, en donnant la priorité aux cibles « VIP » et en ignorant celles situées plus bas dans la hiérarchie.
Parmi ceux dont les comptes ont été piratés, 39 % étaient des cadres de niveau C, 9 % étaient des PDG et des vice-présidents, 17 % étaient des directeurs financiers et les autres étaient des employés ayant accès à des actifs financiers ou à des informations sensibles.
Une fois qu’un compte Microsoft 365 est compromis, les acteurs de la menace ajoutent leur propre méthode d’authentification multifacteur (via l’application Authenticator avec notification et code) pour établir la persistance.
Les kits de phishing par proxy inverse, et EvilProxy en particulier, constituent une menace croissante capable de fournir un phishing de haute qualité à des échelles dangereuses tout en contournant les mesures de sécurité et les protections de compte.
Les organisations ne peuvent se défendre contre cette menace que par une plus grande sensibilisation à la sécurité, des règles de filtrage des e-mails plus strictes et l’adoption de clés physiques basées sur FIDO.